La Autoridad Australiana de Protección de Datos (OIAC) ha participado al GPEN Sweep 2020-2021 (barridos realizados desde el Global Privacy Enforcement Network) que ha examinado como las consideraciones sobre la privacidad han sido tomadas en cuenta desde las organizaciones responsables de varias soluciones e iniciativas contra el COVID-19. Ha también capturado el nivel de compromiso que las autoridades de protección de datos han tenido con aquellas organizaciones en su jurisdicción.
Una investigación internacional de privacidad ha revelado que todas las autoridades de protección de datos (DPA) participantes han sido activamente afectadas en la evaluación de las implicaciones de privacidad de soluciones y iniciativas contra el COVID-19. En un numero limitado de jurisdicciones han sido tomadas acciones de conformidad y aplicación.
Veinte autoridades de protección de datos desde Europa, Américas, Oceanía, Asia y Medio Oriente han participado al control anual en 2021, coordenado desde la Oficina del Comisionado de Privacidad de la Nueva Zelandia.
Las organizaciones han revelado una significativa conciencia de los riesgos de privacidad conexos a estas soluciones y han establecido reglas claras sobre el tratamiento de las informaciones personales afectadas.
Las respuestas a los barridos han indicado que la atención principal de las Autoridades de Protección de Datos se refería a las aplicaciones móviles de rastreo de contactos COVID-19, también si las otras iniciativas incluían pulseras electrónicas, registros de vacunas de COVID-19 y registros de fronteras nacionales.
Resultados
Casi todas las jurisdicciones que han contestado tienen una aplicación móvil de rastreo de contactos COVID-19 que utiliza la tecnología Bluetooth.
Estas avisan los usuarios si han sido cerca de otro usuario de la aplicación que ha resultado positivo al COVID-19, y si han visitado un sitio durante le mismo periodo de otra persona positiva.
La mayoría de las autoridades sanitarias ha efectuado evaluaciones de impacto sobre la privacidad (DPIA) y ha afectado su Autoridad local en fase inicial del desarrollo del proyecto para mitigar los riesgos identificados por la privacidad. Una preocupación clave era la identificación de los individuos desde las informaciones personales recogidas desde las aplicaciones de búsqueda de los contactos y la conservación de las informaciones personales recogidas.
Las Autoridades de Protección de Datos han recomendado algunas de las siguientes buenas praxis: que las informaciones personales sean conservadas localmente sobre los dispositivos de los usuarios más que sobre server centralizados; y que las informaciones personales recogidas para luchar contra el COVID-19 han sido destruidas de manera segura no apena razonablemente posible una vez que no son más necesarias.
Diferentes autoridades de protección de datos han tomado acciones de conformidad y ejecución en respuesta a las quejas recibidas. Todas las autoridades de protección de datos han producido material didáctico relativo a las cuestiones de privacidad sobre medidas sanitarias de COVID-19.
Contexto
El fin del GPEN Sweep 2020-21 es comprender como las consideraciones sobre la privacidad han sido tomadas en cuenta desde las organizaciones responsables de varias soluciones y iniciativas contra el COVID-19. Ha también capturado el nivel de compromiso que las Autoridades han tenido con aquellas organizaciones en su jurisdicción (tanto mediante evaluaciones de aplicaciones de búsqueda de contactos o cualquier otra iniciativa del sector público o privado).
El barrido exploró cómo la comunidad global de Autoridades se comprometió con los gobiernos locales para identificar y entender los riesgos asociados con las iniciativas de COVID-19, incluyendo la formulación de recomendaciones para mejorar el cumplimiento de las leyes de privacidad y protección de datos, y la adopción de medidas de aplicación cuando sea necesario. El barrido también trató de entender qué acciones coercitivas, si las hubiera, podrían utilizar las Autoridades, y qué actividades de educación y divulgación llevaron a cabo las Autoridades.
El Global Privacy Enforcement Network (GPEN) se creó en 2010 por recomendación de la Organización para la Cooperación y el Desarrollo Económico. Su objetivo es fomentar la cooperación transfronteriza entre los reguladores de la privacidad en un mercado cada vez más global en el que el comercio y la actividad de los consumidores dependen de la fluidez de la información personal a través de las fronteras. Sus miembros intentan trabajar juntos para reforzar la protección de la privacidad personal en este contexto global. La red informal está formada por más de 70 autoridades encargadas de velar por la privacidad en más de 40 jurisdicciones de todo el mundo.
GPEN Sweep 2020-21 informe:
FUENTE: AUTORIDAD DE PROTECCIÓN DE DATOS DE AUSTRALIA – OIAC